Control de acceso del portal de gobernanza de Microsoft Purview

  • Artículo
  • Tiempo de lectura: 11 minutos

El portal de gobernanza de Microsoft Purview usa colecciones en el mapa de datos de Microsoft Purview para organizar y administrar el acceso a través de sus orígenes de datos, recursos y otros artefactos. En este artículo se describen las recopilaciones y la administración de acceso para su cuenta en el portal de gobernanza de Microsoft Purview.

Importante

En este artículo se describen los permisos necesarios para el portal de gobernanza de Microsoft Purview y aplicaciones como el mapa de datos de Microsoft Purview, Data Catalog, información del patrimonio de datos, etc. Si busca información sobre los permisos del Centro de cumplimiento de Microsoft Purview, consulte el artículo Permisos en el portal de cumplimiento de Microsoft Purview.

Colecciones

Una colección es una herramienta que el mapa de datos de Microsoft Purview usa para agrupar recursos, orígenes de datos y otros artefactos en una jerarquía para facilitar la detección y para administrar el control de acceso. Todo los accesos a los recursos del portal de gobernanza de Microsoft Purview se administran desde colecciones dentro del mapa de datos de Microsoft Purview.

Roles

El portal de gobernanza de Microsoft Purview usa un conjunto de roles predefinidos para controlar quién puede acceder a qué dentro de la cuenta. Estos roles son actualmente:

  • Administrador de colecciones: un rol para los usuarios que tendrán que asignar roles a otros usuarios en el portal de gobernanza de Microsoft Purview o administrar las colecciones. Los administradores de colecciones pueden agregar usuarios a roles en las colecciones en las que son administradores. También pueden editar las colecciones y sus detalles y agregar subcolecciones. Un administrador de la colección raíz también tiene permiso automáticamente en el portal de gobernanza de Microsoft Purview. Si es necesario cambiar el administrador de la colección raíz, puede seguir los pasos descritos en la sección siguiente.
  • Administradores provisionales de datos: un rol que proporciona acceso al catálogo de datos para administrar recursos, configurar clasificaciones personalizadas, configurar términos de glosario y revisar la información de patrimonio de datos. Los administradores provisionales de datos pueden crear, leer, modificar, mover y eliminar recursos. También pueden aplicarles anotaciones.
  • Lectores de datos: rol que proporciona acceso de solo lectura a recursos de datos, clasificaciones, reglas de clasificación, colecciones y términos del glosario.
  • Colaborador del recurso compartido de datos: Un rol que puede compartir datos dentro de una organización y con otras organizaciones mediante funcionalidades de recursos compartidos de datos en Microsoft Purview. Los colaboradores de recurso compartido de datos pueden ver, crear, actualizar y eliminar recursos compartidos enviados y recibidos.
  • Administrador de orígenes de datos: un rol que permite a un usuario administrar orígenes de datos y exámenes. Si a un usuario solo se le concede el rol de administrador de origen de datos en un origen de datos determinado, puede ejecutar nuevos exámenes mediante una regla de examen existente. Para crear reglas de examen, también se deben conceder al usuario los roles Lector de datos o Administrador provisional de datos.
  • Lector de conclusiones: rol que proporciona acceso de solo lectura a informes de conclusiones de las colecciones en las que el lector de conclusiones también tiene al menos el rol de lector de datos. Para obtener más información, consulte Permisos de información.
  • Autor de la directiva (versión preliminar): un rol que permite a un usuario ver, actualizar y eliminar directivas de Microsoft Purview a partir de la aplicación de administración de directivas en Microsoft Purview.
  • Administrador de flujos de trabajo: un rol que permite a un usuario acceder a la página de creación del flujo de trabajo en el portal de gobernanza de Microsoft Purview y publicar flujos de trabajo en las colecciones en las que tienen permisos de acceso. El administrador de flujos de trabajo solo tiene acceso a la creación, por lo que necesitará al menos permiso de lector de datos en una colección para poder acceder al portal de gobernanza de Purview.

Nota

En este momento, el rol de autor de las directivas de Microsoft Purview no es suficiente para crear directivas. También se requiere el rol de administrador del origen de datos de Microsoft Purview.

¿A quién se le debe asignar cada rol?

Escenario de usuario Roles adecuados
Solo necesito buscar recursos, no deseo editar nada. Lector de datos
Necesito editar información sobre los recursos, asignarles clasificaciones, asociarlos a entradas del glosario, etc. Conservador de datos
Necesito editar el glosario o configurar nuevas definiciones de clasificación. Conservador de datos
Necesito consultar información del patrimonio de datos para comprender la posición de gobernanza de mi patrimonio de datos. Conservador de datos
La entidad de servicio de la aplicación necesita insertar los datos al mapa de datos de Microsoft Purview Conservador de datos
Necesito configurar exámenes mediante el Portal de gobernanza de Microsoft Purview. Conservador de datos sobre la colección o conservador de datos y administrador de orígenes de datos donde el origen está registrado
Necesito habilitar una entidad de servicio o un grupo para configurar y supervisar los exámenes en el mapa de datos de Microsoft Purview sin permitirles que accedan a la información del catálogo Administrador de orígenes de datos
Necesito asignar usuarios a los roles en el portal de gobernanza de Microsoft Purview Administrador de recopilación
Necesito crear y publicar directivas de acceso Administrador de orígenes de datos y autor de directivas
Necesito crear flujos de trabajo para la cuenta del portal de gobernanza de Microsoft Purview Administrador de flujos de trabajo
Necesito compartir datos de orígenes registrados en Microsoft Purview Colaborador del recurso compartido de datos
Necesito ver información de las colecciones de las que formo parte Lector de conclusiones o conservador de datos

Gráfico que muestra los roles del portal de gobernanza de Microsoft Purview

Nota

*Permisos de administrador de orígenes de datos en Directivas: los administradores de orígenes de datos también pueden publicar directivas de datos.

Información sobre cómo usar los roles y colecciones del portal de gobernanza de Microsoft Purview

Todo el control de acceso se administra a través de colecciones en el mapa de datos de Microsoft Purview. Las colecciones se pueden encontrar en el portal de gobernanza de Microsoft Purview. Abra la cuenta de en Azure Portal y seleccione el icono del Portal de gobernanza de Microsoft Purview en la página de información general. Desde allí, vaya al mapa de datos en el menú izquierdo y seleccione la pestaña "Colecciones".

Cuando se crea una cuenta de Microsoft Purview (antiguamente Azure Purview), comienza con una colección raíz que tiene el mismo nombre que la propia cuenta de Purview. El creador de la cuenta se agrega automáticamente como administrador de colecciones, administrador de orígenes de datos, administrador provisional de datos y lector de datos en esta colección raíz, y puede editarla y administrarla.

A esta colección raíz se le pueden agregar directamente orígenes, recursos y objetos, pero también otras colecciones. Al agregar colecciones, tendrá un mayor control sobre quién tiene acceso a los datos en la cuenta.

El resto de usuarios solo pueden acceder a la información que contiene el portal de gobernanza de Microsoft Purview si a ellos, o a un grupo en el que estén, se les da uno de los roles anteriores. Esto significa que, al crear una cuenta, nadie más que el creador puede acceder o usar sus API hasta que se le agrega uno o varios de los roles anteriores en una colección.

Los usuarios solo pueden ser agregados a una colección por un administrador de colecciones, o mediante la herencia de permisos. Los permisos de una colección principal son heredados automáticamente por sus subcolecciones. Sin embargo, puede optar por restringir la herencia de permisos en cualquier colección. Si lo hace, sus subcolecciones ya no heredarán los permisos de la colección primaria y será preciso agregarlos directamente, aunque los administradores de la colección que se heredan automáticamente de una colección principal no se pueden eliminar.

Puede asignar roles a usuarios, grupos de seguridad y entidades de servicio desde la instancia de Azure Active Directory asociada a la suscripción.

Asignación de permisos a los usuarios

Después de crear una cuenta de Microsoft Purview (anteriormente Azure Purview), lo primero que debe hacer es crear colecciones y asignar usuarios a roles dentro de estas colecciones.

Nota

Si creó la cuenta de mediante una entidad de servicio, para poder acceder al portal de gobernanza de Microsoft Purview y asignar permisos a los usuarios, deberá conceder a un usuario permisos de administrador de colecciones en la colección raíz. Puede usar este comando de la CLI de Azure:

az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]

El identificador de objeto es opcional. Para obtener más información y un ejemplo, consulte la página de referencia de comandos de la CLI.

Creación de recopilaciones

Las colecciones se pueden personalizar de acuerdo a la estructura de los orígenes del mapa de datos de Microsoft Purview y pueden actuar como ubicaciones de almacenamiento organizadas para estos recursos. Cuando piense en las colecciones que pueda necesitar, tenga en cuenta cómo los usuarios accederán a la información o la detectarán. ¿Los orígenes están divididos por departamentos? ¿Hay grupos especializados dentro de esos departamentos que solo necesitarán detectar algunos recursos? ¿Hay algunos orígenes que todos los usuarios deben poder detectar?

Hacerse estas preguntas le permitirá saber que colecciones y subcolecciones puede necesitar para organizar de forma más eficaz el mapa de datos.

Se pueden agregar nuevas colecciones directamente al mapa de datos, donde puede elegir su colección primaria en una lista desplegable, o bien se pueden agregar desde la colección primaria como una subcolección. En la vista de mapa de datos, puede ver todos los orígenes y recursos ordenados por las colecciones y, en la lista, se muestra la colección del origen.

Para más instrucciones e información, puede seguir nuestra guía para crear y administrar colecciones.

Ejemplo de colección

Ahora que tenemos un conocimiento básico de las colecciones, los permisos y cómo funcionan, veamos un ejemplo.

Gráfico que muestra una jerarquía de colecciones de ejemplo dividida por región y departamento.

Esta es una de las maneras en que una organización podría estructurar sus datos: comenzando por la colección raíz (Contoso, en este ejemplo), las colecciones se organizan en regiones y, luego, en departamentos y subdepartamentos. Se pueden agregar orígenes de datos y recursos a cualquiera de estas colecciones para organizar los recursos de datos por estas regiones y departamento, y administrar el control de acceso en esas líneas. Hay un subdepartamento, Ingresos, que tiene directrices de acceso estrictas, por lo que los permisos tendrán que administrarse firmemente.

El rol de lector de datos puede acceder a la información del catálogo, pero no administrarla ni editarla. Por lo tanto, siguiendo el ejemplo anterior, si se agrega el permiso de lector de datos a un grupo en la colección raíz y se permite la herencia, todos los usuarios de ese grupo tendrán permisos de lector en los recursos y los orígenes en el mapa de datos de Microsoft Purview. Esto hace que todos los usuarios de ese grupo puedan detectar, pero no editar, estos recursos. La restricción de la herencia en el grupo Ingresos controlará el acceso a esos recursos. Los usuarios que necesitan acceso a la información de ingresos se pueden agregar por separado a la colección Ingresos. Del mismo modo que con los roles Administrador provisional de datos y Administrador de orígenes de datos, los permisos para esos grupos se iniciarán en la colección en la que se asignan y se limitarán a las subcolecciones en las que no se ha restringido la herencia. A continuación, se han asignado permisos para varios grupos en los niveles de colecciones de la subcolección Américas.

Gráfico que muestra una jerarquía de colecciones de ejemplo dividida por región y departamento que muestra la distribución de permisos.

Asignación de roles a los usuarios

La asignación de roles se administra mediante las colecciones. Solo un usuario con el rol de administrador de colecciones puede conceder permisos a otros usuarios para esa colección. Cuando sea necesario agregar nuevos permisos, un administrador de colecciones accederá al portal de gobernanza de Microsoft Purview, irá al mapa de datos, luego a la pestaña colecciones y seleccionará la colección en la que es necesario agregar un usuario. En la pestaña Asignaciones de roles, podrán agregar y administrar los usuarios que necesitan permisos.

Puede encontrar instrucciones completas en nuestra guía paso a paso para agregar asignaciones de roles.

Cambio de administrador

Puede haber un momento en el que el administrador de la colección raíz necesite cambiar. De forma predeterminada, el usuario que crea la cuenta se asigna automáticamente al administrador de recopilación a la colección raíz. Para actualizar el administrador de la colección raíz, hay cuatro opciones:

  • Puede administrar los administradores de la colección raíz en Azure Portal:

    1. Inicie sesión en Azure Portal y busque la cuenta de Microsoft Purview.
    2. Seleccione Root collection permission (Permiso de la colección raíz) en el menú izquierdo de la página de la cuenta de Microsoft Purview.
    3. Seleccione Add root collection admin (Agregar administrador de la colección raíz) para agregar un administrador. Captura de pantalla de la página de una cuenta de Microsoft Purview en Azure Portal con la página de permisos de la colección raíz seleccionada y la opción Add root collection admin (Agregar administrador de la colección raíz) resaltada.
    4. También puede seleccionar View all root collection admins (Ver todos los administradores de la colección raíz) que se van a llevar a la colección raíz en el portal de gobernanza de Microsoft Purview.

  • Puede asignar permisos mediante el portal de gobernanza de Microsoft Purview, como lo ha hecho para cualquier otro rol.

  • Puede usar la API REST para agregar un administrador de recopilación. Las instrucciones para usar la API REST para agregar un administrador de recopilación se pueden encontrar en la documentación de la API REST para colecciones. Para obtener más información, puede ver nuestra referencia de la API REST.

  • También puede usar el siguiente comando de la CLI de Azure. El identificador de objeto es opcional. Para obtener más información y un ejemplo, consulte la página de referencia de comandos de la CLI.

    az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]

Pasos siguientes

Ahora que tiene una comprensión básica de las colecciones y el control de acceso, siga las guías siguientes para crear y administrar esas colecciones, o bien empiece a registrar orígenes en el mapa de datos de Microsoft Purview.